MANAGEMENT DE LA SECURITE DE L INFORMATION UNE APPROCHE NORMATIVE : BS7799-2

Dimension: px
Commencer à balayer dès la page:

Download "MANAGEMENT DE LA SECURITE DE L INFORMATION UNE APPROCHE NORMATIVE : BS7799-2"

Transcription

1 DOSSIER TECHNIQUE MANAGEMENT DE LA SECURITE DE L INFORMATION UNE APPROCHE NORMATIVE : BS Décembre 2004 Groupe de Travail BS7799-2/SMSI CLUB DE LA SECURITE DES SYSTEMES D INFORMATION FRANÇAIS 30, rue Pierre Semard, PARIS Tél. : Fax : Web :

2 REMERCIEMENTS Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce document, tout particulièrement : Régis BOURDONNEC Philippe CHAILLEY Anne COAT Christian GATEAU Stéphane GEYRES Frédéric HUYNH Jean ISNARD Laurent MARECHAL Fred MESSIKA Béatrice RENARD Paul RICHY Hervé SCHAUER Isabelle WAS BNP Paribas - Cardif Ercom Silicomp AQL France Telecom Transpac Ernst & Young Ernst & Young Euronext Silicomp - AQL Lynx Technologies France Telecom France Telecom HSC Deloitte Nous remercions aussi les membres ayant participé à la relecture. Management de la SI Une approche normative - I - CLUSIF 2004

3 TABLE DES MATIÈRES 1. INTRODUCTION OBJECTIF DE CE DOCUMENT LECTORAT TERMINOLOGIE SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L INFORMATION (SMSI) DÉFINITION D UN SMSI COMMENT METTRE EN PLACE UN SMSI? LA NORME BS7799-2: HISTORIQUE DESCRIPTION DE LA NORME Périmètre de la norme Structure de la norme RECONNAISSANCE INTERNATIONALE BS ET SMSI BS ET LA GESTION DE LA SÉCURITÉ Qui est concerné par la norme elle-même? Qui est concerné par le SMSI? Analyse des risques Gestion du risque Processus d amélioration continue BS ET QUALITÉ BS ET ANALYSE DE RISQUES BS ET CERTIFICATION LA CERTIFICATION BS DES ORGANISMES LA CERTIFICATION «LEAD AUDITOR» DES PERSONNES AUTRES PRATIQUES ET NORMES DE CERTIFICATION ISO ISO CONCLUSION Management de la SI Une approche normative - II - CLUSIF 2004

4 1. INTRODUCTION 1.1 Objectif de ce document L objectif de ce document est de présenter au lecteur, à travers la norme britannique BS :2002, une démarche de mise en œuvre d un système de management de la sécurité de l information dans les organismes. 1.2 Lectorat Les documents du CLUSIF sont généralement à destination des RSSI et des DSI. L élargissement du périmètre à l ensemble de l information (et non plus au système d information) dans le cadre ISO17799 ou BS7799 nous incite à proposer une cible sensiblement plus large : comme pour le document ISO 17799, tous les professionnels de la sécurité de l information, mais aussi tous les professionnels d organismes impliqués dans la sécurité : directeurs sécurité, secrétaires généraux, les Directions Générales dans la mesure où l on parle de certification, ce qui implique une décision et un engagement au plus haut niveau de l organisme. 1.3 Terminologie Pour l ensemble du document, on entend par «organisme» : toute entité (entreprise, administration, organisation, association, etc.) ainsi que tout sous-ensemble de celle-ci (filiale, métier, géographique, etc.). Management de la SI Une approche normative CLUSIF 2004

5 2. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L INFORMATION (SMSI) 2.1 Définition d un SMSI Un SMSI est un ensemble d éléments interactifs permettant à un organisme d établir une politique et des objectifs en matière de sécurité de l information, d appliquer la politique, d atteindre ces objectifs et de contrôler l atteinte des objectifs. La politique de sécurité de l information donne les grandes orientations de l organisme en matière de sécurité de l information et fixe des objectifs quantifiés. Elle est officiellement formulée par la Direction, qui s engage à fournir les moyens nécessaires pour atteindre ces objectifs. Elle est cohérente avec les objectifs métier de l organisme, et avec les besoins de ses clients et partenaires. Elle est communiquée au sein de l organisme, sa compréhension par les intervenants internes et externes est vérifiée, elle est revue de façon périodique (en général annuellement) pour rester en adéquation avec les objectifs globaux de l entité. Le SMSI est établi, documenté, mis en œuvre et entretenu. Son efficacité est mesurée par rapport aux objectifs de l entité, et cette mesure permet d améliorer en permanence le SMSI. Le SMSI est cohérent avec les autres systèmes de management de l entité, notamment avec les systèmes de management de la qualité, de la sécurité des conditions de travail, et de l environnement. Le SMSI inclut donc au minimum : des éléments documentaires (politique, description des objectifs, cartographie des processus impactés, des activités de sécurité, et des mesures), la description de la méthode d analyse des risques utilisée, les processus impliqués dans la mise en œuvre de la sécurité de l information, les responsabilités relatives à la sécurité de l information, les ressources nécessaires à sa mise en œuvre, les activités relatives à la sécurité de l information, les enregistrements issus des activités relatives à la sécurité de l information, les (relevés de) mesures prises sur les processus, les actions relatives à l amélioration de la sécurité de l information. L existence d un SMSI dans l organisme permet de renforcer la confiance dans le mode de gestion de la sécurité de l information. Management de la SI Une approche normative CLUSIF 2004

6 2.2 Comment mettre en place un SMSI? L adoption d un SMSI est une décision stratégique pour un organisme. Sa conception, son implémentation, et son organisation dépendent des besoins de sécurité de l organisme. Ces besoins sont eux-mêmes fonction du métier de l organisme, des exigences de sécurité (client/interne) qui en résultent, des processus mis en place, de sa taille et de sa structure. Pour initialiser une démarche de SMSI, l organisme doit : déterminer le périmètre (fonctionnel, géographique, organisationnel, etc.) concerné, identifier parmi les processus de ce périmètre, ceux qui sont concernés par la sécurité de l information, et leurs risques associés, déterminer les exigences (objectifs, référentiels, méthodes, etc.) nécessaires pour assurer la sécurité des processus, définir les mesures de sécurité nécessaires pour se conformer aux exigences exprimées. Les processus nécessaires au SMSI comprennent ceux relatifs : aux activités de management, à la mise à disposition de ressources, à la réalisation des produits/services, aux mesures et à l amélioration. Si l organisme décide d externaliser un processus ayant une incidence sur la sécurité, il doit en assurer la maîtrise et mentionner dans le SMSI les moyens de cette maîtrise. Management de la SI Une approche normative CLUSIF 2004

7 3. LA NORME BS7799-2: Historique Au début des années 1990 de grands groupes britanniques (BT, Shell, Marks & Spencer, Nationwide Building Society, etc.) se sont rencontrés au sujet de l assurance des échanges commerciaux en ligne. L objectif était alors de proposer un nombre réduit de mesures clés, liées à la sécurisation de l information, que toute entreprise serait à même de mettre en œuvre. Le Département des Transports et de l Industrie britannique (DTI) tenait à ce que ces dix mesures clés soient identifiées et présentées dans une norme de gestion de la sécurité de l information, il parraine donc la rédaction d une première version de ce document - dans le respect des normes et standards du BSI (British Standards Institute). En 1991 un projet de «Code de bonnes pratiques» a été réalisé. Il recommandait en particulier la formalisation d une politique de sécurité de l information. Cette dernière devait intégrer au minimum 8 conditions (au niveau stratégique et opérationnel) ainsi qu une condition de "conformité" et être maintenue à jour. Ceci se traduit par l augmentation du nombre de responsables de la sécurité de l information chargés de s assurer de la conformité en accord avec la politique de l entreprise. En 1995, la BS 7799 présente 10 mesures clés intégrant 100 mesures détaillées potentiellement applicables. En 1998, il est adjoint une partie 2 à la BS 7799 dans laquelle plus de 100 mesures de sécurité sont détaillées selon le principe du management de la sécurité du système d information (Information Security Management System - ISMS) et fondée sur une approche de maîtrise des risques. La motivation de la partie 2 a été de mettre à disposition les fondements d un schéma de certification permettant d attester la conformité à ce qui est devenu la partie 1. La priorité a été donnée à l intégration des problématiques d e-business en les structurant dans la partie 1 de la BS 7799, pour que cette norme puisse être présentée à l ISO. Le nombre de mesures passe alors à 127. La BS7799-1:1999 est reconnue après une réflexion au niveau international et devient alors la norme internationale ISO / IEC en La BS :2002 remplace la version de 1998 de la BS pour mieux s inspirer des autres systèmes de management déjà existants tels que BS EN ISO 9001:2000 et BS EN ISO 14001:1996 afin de permettre une implémentation intégrée des différents systèmes de management. 3.2 Description de la norme Périmètre de la norme La norme BS7799-2:2002 définit des exigences pour planifier, implémenter, contrôler et améliorer un SMSI. Elle s applique à tout organisme, mais aussi à toute unité opérationnelle, tout département au sein d une entreprise ou tout site géographique, dès lors que celui-ci a la responsabilité de la protection de son information et donc dispose d un responsable identifié. Management de la SI Une approche normative CLUSIF 2004

8 Au sein de l organisme la norme concerne, aussi bien le système informatique, que les aspects humains et physiques, les processus, etc Structure de la norme La norme 1 est constituée de 2 parties distinctes : le corps du document rappelle et définit les concepts de SMSI, le modèle de «Plan, Do, Check, Act» (PDCA, cf. 3.4) et insiste sur les tâches et l implication du management, les annexes (A, B, C et D) du document. En dehors des chapitres introductifs de toute norme ISO ( 1 Champs d application, 2 Références, 3 Définitions), la norme aborde les thèmes suivants : la notion de SMSI au travers de l approche «processus» et du modèle PDCA ( 0) ainsi que le parallèle entre SMSI et les autres systèmes de management (qualité, environnement) ( 0), les jalons et tâches clés de la dynamique d un SMSI ( 4), les implications et les responsabilités du management associées à un SMSI ( 5 et 6), l amélioration continue du SMSI ( 7). L annexe A (normative) établit les objectifs de maîtrise de la sécurité en reprenant les thèmes directeurs de toutes les sections du document ISO Le terme «normatif» signifie que cette annexe est d application obligatoire pour conformité à la norme BS L annexe B (informative) présente de manière générique les actions à mettre en œuvre à chaque étape du cycle PDCA. Enfin, les annexes C et D, également informatives, précisent respectivement les similitudes entre les différents systèmes de management (ISO 9001:2000, ISO 14001:1996 et BS7799-2:2002) et les modifications survenues sur les versions antérieures de la norme dans BS7799-2: Reconnaissance internationale Comme le précise le tableau ci-après, à la date de rédaction de ce document, la norme BS7799-2:2002 est soit : utilisée directement dans sa version britannique par les organismes, sans avoir été adoptée formellement par les instances de normalisation nationales, reprise à l identique, i.e. avec un numéro de norme national, comme par exemple en Australie, en Nouvelle-Zélande ou en Afrique du Sud, reprise au niveau national, avec adaptation, comme par exemple en Espagne, au Danemark ou en Suède. 1 Au-delà de la définition issue d un dictionnaire, nous pouvons définir une norme comme étant un document de référence issu d un consensus d acteurs du marché et reconnu au niveau local, régional, national ou international. Management de la SI Une approche normative CLUSIF 2004

9 Pays 2 Asie Japon Océanie Australie Nlle Zélande Europe Danemark Espagne Suède Afrique Afrique du Sud Norme JIS X 5080:2002: Information technology Code of practice for information security management (ISO17799) JIS Q 2001:2001 Guidelines for Development and Implementation of Risk Management System (qui joue le role de la BS7799-2) JIPDEC Certification (Schéma de certification réglementaire) AS/NZS :2003: Information security management - Specification for information security management systems DS484-2 UNE 71502: "Requisitos para la gestión de la seguridad de TI" Norme basée sur la BS7799-2:2002 comprenant des éléments contextuels supplémentaires, traitant de la protection des données personnelles. Il existe un schéma de certification. SS :2003 Information security management - Specification for information security management systems Il existe un schéma de certification. SABS A décembre 2004, plus de 1000 certificats BS ont été recensés à travers le monde. Ce nombre représente une augmentation de plus de 100% par rapport à début Leur répartition géographique est de 47% au Japon, environ 18% en Royaume Uni, 14% dans le reste de l Europe, 17% en Asie (hors Japon), 2% pour les Amériques et 2% Pour le reste du monde. Aucun certificat n a été délivré en France. Comme pour les normes ISO9000, ces certificats portent le plus souvent sur un sous-ensemble des différents organismes. De ce fait, certains organismes peuvent détenir plusieurs certificats. Ces différents points sont développés au chapitre BS et SMSI La BS a été établie pour des managers et leurs équipes afin de fournir un modèle pour mettre en place et gérer un Système de Management de la Sécurité de l Information efficace. 2 Hors Royaume-Uni. Management de la SI Une approche normative CLUSIF 2004

10 La BS s appuie sur une approche processus pour définir, implémenter, mettre en fonction, maîtriser et améliorer l efficacité de l organisation d un SMSI. La démarche du British Standard suit le «Modèle PDCA» (Plan-Do-Check-Act), connu également sous le nom de «Roue de Deming» (cf. ISO9001:2000) qui s applique ainsi à tout SMSI. L approche processus met l accent sur l importance des points suivants : PLAN DO ACT CHECK P (compréhension) : Une bonne compréhension des besoins en matière de sécurité de l information au regard du business, et la nécessité d élaborer une politique et des objectifs en matière de sécurité de l information Etablissement du SMSI D (politique) : Les contrôles en phase d implémentation et de fonctionnement dans un contexte de management de l ensemble des risques de l organisation Mise en œuvre des processus, C (surveillance) : La surveillance et la révision des performances et de l efficacité du SMSI, A (amélioration) : L amélioration permanente du système de management, basée sur des mesures objectives. 3.5 BS et la gestion de la sécurité Différents acteurs sont concernés par la BS :2002. Chacun d eux trouvera dans la lecture de ce document les informations sur son rôle en fonction des étapes de mise en œuvre d un SMSI : analyse des risques, management du risque, processus d amélioration continu Qui est concerné par la norme elle-même? Toute personne concernée par une démarche de SMSI et/ou certification sont directement concernés par cette norme. Management de la SI Une approche normative CLUSIF 2004

11 3.5.2 Qui est concerné par le SMSI? Acteur Rôle / Intérêt Etape Propriétaires des informations, Responsables métiers Responsable de l analyse de risques Définissent les exigences de sécurité des informations dont ils sont les propriétaires. Identifie de manière exhaustive les actifs sensibles de l entreprise, les menaces pesant sur ces actifs et les vulnérabilités qu elles pourraient exploiter. P P / C RSSI Propose des mesures de sécurité P Tous Direction Générale Mettent en œuvre des mesures de sécurité Participent à l amélioration du SMSI Lance la démarche PDCA Valide le traitement du risque D A P Contrôle Interne Audite la démarche, les mesures mises en place C Analyse des risques Les exigences de sécurité (Disponibilité, Intégrité, Confidentialité, Preuve) sont définies par les propriétaires des informations. Le responsable de l analyse des risques à partir de l identification exhaustive des actifs sensibles de l entreprise, des menaces pesant sur ces derniers et des vulnérabilités qu elles pourraient exploiter, évalue les risques Gestion du risque Le RSSI est le principal acteur à qui s adresse ce document. Il devra : définir la démarche à suivre (description des étapes nécessaires) pour établir son SMSI, proposer les mesures de sécurité à mettre en place «a priori» (issus de la BS ou non). La Direction Générale a pour attribution principale : d affecter les ressources humaines et financières nécessaires à la mise en œuvre des mesures et éventuellement d accepter certains risques pour l entreprise, de valider et s engager sur les objectifs de la politique de sécurité. Les différentes structures de l entreprise devront mettre en place les mesures validées par la Direction Générale Processus d amélioration continue Le Contrôle Interne ou Audit a en charge la conduite de missions d audit interne de la gestion de la politique de sécurité déployée. Le document précise les modalités (la périodicité, les objets et la qualité) de ces audits du SMSI. Management de la SI Une approche normative CLUSIF 2004

12 3.6 BS et qualité La norme dispose d un «héritage» affiché, exposé dès le paragraphe d introduction, avec l approche qualité. Cette problématique est omniprésente dans tout le document. Ce fort lien est illustré notamment par les deux points suivants : alignement de la BS :2002 avec la norme ISO 9001:2000 pour être compatible avec d autres systèmes de management, utilisation de l approche processus, élément fondamental de management de la qualité dans l ISO 900n:2000, et du modèle dit «PDCA». Par ailleurs, le contenu du texte de la BS :2002 est, en ce qui concerne la protection de l information, en grande partie une déclinaison de l ISO 9001:2000. Enfin, l annexe C fournit les correspondances, chapitre par chapitre de BS7799-2:2002 avec l ISO 9001:2000, ainsi que l ISO 14001:1996 pour les thématiques communes. Il faut néanmoins noter que ces deux premières normes sont structurées différemment : la structure de la BS :2002 est basée sur le modèle de Deming (PDCA) et de l analyse des risques, la structure de l ISO 9001:2000 est une description plus complète de l ensemble des processus impactant la qualité du produit. Si certains thèmes de l ISO 9001 sont repris dans la BS , d autres sont : traités de manière très succincte, comme le paragraphe sur les audits internes, la revue de direction, etc. traités de manière indirecte. Par exemple, le paragraphe 6.2 («Management des ressources humaines») de l ISO 9001:2000 est rapproché du paragraphe de la BS :2002 («Training, awareness and competency») quoique plus réducteur, non cités, comme le contenu du chapitre 7 de l ISO 9001:2000 («Réalisation du produit»), à peine évoqué par le biais des "actions" dans le paragraphe sur l analyse des risques ou le paragraphe 6.3 de l ISO 9001:2000 («Infrastructure»). 3.7 BS et analyse de risques L analyse de risques joue un rôle essentiel tout au long de la vie du SMSI, aussi bien lors de sa définition (le plan du modèle PDCA), que lors de sa maintenance et de son amélioration (le check du PDCA). En effet, la norme stipule qu une analyse de risques doit être intégrée dans le processus d établissement du SMSI. Idéalement cela peut être réalisé dès la phase de démarrage, afin de lui fournir de la matière première à l établissement des besoins et des mesures de sécurité à mettre en œuvre. Une approche méthodique est recommandée, toute mesure devant avoir un justificatif formel (i.e., écrit et argumenté) à partir des risques identifiés. Les objectifs du SMSI sont alors fixés en vue de ramener les risques identifiés à un niveau acceptable pour l organisme. L analyse de risques intervient de nouveau en phase de supervision et de révision du SMSI (la phase check). Cette étape est nécessaire pour garantir la pérennité du SMSI et son adéquation face aux évolutions de l organisme, aux changements d ordres réglementaires, légaux et techniques, et à Management de la SI Une approche normative CLUSIF 2004

13 des nouvelles menaces identifiées. Cette étape, planifiée, est l occasion d adapter les procédures qui ont été mises en place dans le SMSI en fonction des risques, qu ils soient initiaux ou nouveaux, et de leur niveau d acceptation. Aucune méthode d analyse de risques n est préconisée dans la BS Toute méthode, suffisamment éprouvée, peut être utilisée à condition qu elle soit bien adaptée au SMSI en cours de définition, à l organisme et au contexte d utilisation (application, type de résultat attendu, spécificité du domaine, compatibilité avec le référentiel de l entité, etc.). Les méthodes les plus connues en France sont EBIOS (DCSSI) et MEHARI (Clusif). Chacune possède sa propre base de connaissance (vulnérabilités, méthodes d attaques, exigences de sécurité, etc.), qui peut ne pas traiter tous les thèmes cités dans la BS Management de la SI Une approche normative CLUSIF 2004

14 4. BS ET CERTIFICATION 4.1 La certification BS des organismes Une des motivations des utilisateurs de la BS est d obtenir une certification sur une organisation, un service ou une entité, afin de pouvoir notamment en faire état. La certification ne garantit pas un niveau de sécurité, elle atteste de l application d une démarche de management de la sécurité de l information selon la norme BS La validité d un certificat BS est de trois ans, sous réserves d une surveillance au minimum annuelle effectuée par l organisme certificateur sur un échantillon de processus. Si des non-conformités majeures par rapport à la démarche BS sont constatées, la certification BS n est pas accordée (ou immédiatement supprimée, dans le cas d un audit de surveillance). Si des non-conformités mineures sont constatées, elles sont rapportées dans le rapport d audit. L entité est tenue dans un délai rapide de présenter un plan des actions correctives, dont l exécution sera vérifiée lors du prochain audit de surveillance. De notre compréhension, un organisme de certification ne peut pas assister l entité dans sa démarche de préparation à la certification. Dans le cadre de la certification BS7799-2, le schéma de certification est le suivant : Autorité d accréditation (COFRAC, UKAS, etc.) Accrédite sur la base de EN EA-7/03 Organismes accrédités (organismes certificateurs) Évaluent puis certifient le SMSI sur la base de la BS et les documents fournis par l entité (politique de sécurité, plan de traitement des risques, etc.) Organisme certifié Utilise le certificat pour démontrer à ses partenaires, clients, etc., sa conformité à une démarche de management de la sécurité de l information. Clients, partenaires, etc. Management de la SI Une approche normative CLUSIF 2004

15 A ce jour, il n existe pas de certificateur français. Néanmoins, il est possible pour un organisme français de se faire certifier par un certificateur (français ou étranger) accrédité lui-même par une autorité d un autre pays européen. Des organismes français ont envisagé d entamer une démarche en vue d une certification, mais la plupart se sont interrompus, notamment faute d un certificateur français. 4.2 La certification «Lead Auditor» des personnes Dans le cadre de ses activités para-normatives, le BSI organise depuis plusieurs années, différents cycles de formation autour de la norme BS Un de ces cycles de formation appelé «BS7799 Lead Auditor» permet aux participants, majoritairement des auditeurs internes ou externes, d aborder les notions de base des principes d audit général de sécurité, de l analyse et du management des risques et de l approche de la certification BS Elle permet de participer à un examen final des connaissances, dont la réussite est sanctionnée par l attribution de la certification «BS7799 Lead Auditor». Il n existe pas de liste exhaustive de personnes certifiées «BS7799 Lead Auditor». Des organismes proposent des listes d individus certifiés construites à partir de critères supplémentaires (diplômes académiques, années d expériences professionnelles, audits réalisés, cotisation, etc.). Selon notre compréhension : la certification «BS7799 Lead Auditor» apporte la garantie que l auditeur a suivi et compris la formation et a réussi l examen, il n est pas nécessaire (ni suffisant) d être qualifié «BS7799 Lead Auditor» pour pouvoir participer à l équipe de certification d un SMSI selon la BS En effet, il n est fait mention d aucune obligation de qualification «officielle» du personnel de certification dans les normes EA7/03. A la date de rédaction de ce document, d autres sociétés que le BSI sont habilitées à dispenser le cours et l examen du «BS7799 Lead Auditor». 4.3 Autres pratiques et normes de certification ISO9001 Il faut distinguer la certification d'organisations (ex. ISO 9001, ISO 14001, OHSAS ), de la certification de produits ou systèmes (ex. ISO 15408). Pour rester dans la perspective globale de ce document, nous parlerons dans ce paragraphe, à titre d'exemple, de l'audit de certification ISO 9001:2000 des Systèmes de Management de la Qualité. L'audit de certification selon l'iso 9001 se déroule en plusieurs étapes, qui sont : La définition du périmètre de l'audit et sa planification, 3 OHSAS : Certification Santé et Sécurité au Travail Management de la SI Une approche normative CLUSIF 2004

16 La phase d'audit proprement dite, avec l'examen du système de management de la qualité, et les différents entretiens, dont les entretiens avec la direction. Cette phase se déroule généralement sur quelques jours, mais la durée et le nombre d'auditeurs et d'intervenants internes peuvent varier selon la taille de l'organisation, et le périmètre de l'audit. Elle se conclut par une première réunion de restitution "à chaud" avec la direction, qui permet d'éclaircir des ambiguïtés ou des remarques issues des entretiens. Elle se termine par l'émission, dans des délais brefs (une à deux semaines), du rapport d'audit, qui récapitule les conformités et les atouts de l'organisation par rapport à ses objectifs et à la norme, mais aussi les remarques, voire les non-conformités, qui justifient la conclusion : d'attribution ou non du certificat lors de l'audit initial, de renouvellement ou de retrait du certificat, dans le cadre d'un audit de renouvellement. Les audits se déroulent conformément aux recommandations de la norme ISO Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental. Elle requiert notamment l'indépendance entre l'organisme effectuant l'audit de certification de l'organisation et l'organisation, donc, éventuellement, l'entreprise accompagnant l'organisation dans sa démarche de certification. Le certificat est valide pour une durée maximale de 3 ans, et fait l'objet d'audits annuels de suivi, puis, au bout de 3 ans, d'un audit de renouvellement. Durant cette période, l'organisme ayant attribué le certificat surveille l'emploi qui en est fait par l'organisation, et peut sanctionner, par exemple, des annonces abusives sur des extensions de périmètre imaginaires, sanctions pouvant aller jusqu'au retrait immédiat du certificat hors audit. L'organisme certificateur doit avoir été accrédité par le COFRAC pour la norme considérée ISO15408 La certification selon les «Critères Communs» («CC» ou encore «ISO15408») concerne les produits et systèmes informatiques (pas nécessairement des produits et systèmes de sécurité informatique). A la différence des autres certifications, un produit est certifié ISO15408 par rapport à un niveau d assurance (à tort aussi appelé «niveau de sécurité») de EAL1 (le plus faible) à EAL7 (le plus élevé). Ces différents niveaux impliquent une étude plus ou moins approfondie de la cible d évaluation (Target Of Evaluation, TOE) qui délimite le périmètre du produit qui est évalué. Le schéma de certification ISO15408 diffère des certifications traditionnelles puisqu il n existe qu un seul organisme de certification gouvernemental : la DCSSI, en France. De même, les laboratoires d évaluation (CESTI) sont accrédités par le COFRAC, et doivent être aussi agréés par la DCSSI. Ainsi, un organisme souhaitant faire évaluer un produit (ou système) doit : déterminer sa cible d évaluation (TOE), qui inclut le niveau d assurance, la faire valider par la DCSSI, choisir un laboratoire d évaluation agréé, faire évaluer son produit. Management de la SI Une approche normative CLUSIF 2004

17 A l issue de l évaluation, le dossier d évaluation est transmis à la DCSSI, qui émettra le cas échéant le certificat correspondant. La certification d un produit ou d un système est un investissement à long terme puisque le processus d évaluation peut prendre plusieurs mois. De même, tout changement significatif de la cible d évaluation nécessite une ré-évaluation de l ensemble. Management de la SI Une approche normative CLUSIF 2004

18 5. CONCLUSION La norme BS a rencontré une large audience et adhésion dans différents pays. Il est vraisemblable qu'elle servira de base de travail à une prochaine norme internationale de type ISO. Jusqu'à présent il manquait une démarche structurée de mise en œuvre d'une politique de sécurité au quotidien. La BS comble ce vide et permet à des organismes de structurer la gestion de leur sécurité. Si on se réfère aux données publiques, il apparaît à l'évidence une très forte croissance en termes de nombre de certificats délivrés sur un an. Toutefois on constate que l'europe continentale et l'amérique du Nord sont en retard par rapport à la Grande Bretagne et à l'asie sur ce point. Management de la SI Une approche normative CLUSIF 2004

Brève étude de la norme ISO/IEC 27003

Brève étude de la norme ISO/IEC 27003 RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation

CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation BELAC 2-002 Rev 2-2014 CERTIFICAT D ACCREDITATION ET DOMAINE D APPLICATION D UNE ACCREDITATION : Lignes directrices générales pour la formulation et l évaluation Les dispositions de la présente procédure

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Methode Mehari www.ofppt.info

Methode Mehari www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Methode Mehari DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI,

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI, Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information Awatef HOMRI, ISO27001 Lead Auditor, ITIL Ingénieur en chef, ANSI Awatef.homri@ansi.tn 1 Agenda Management de la Sécurité

Plus en détail

Cinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro

Cinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr> Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Certification ISO 27001

Certification ISO 27001 Certification ISO 27001 26 octobre 2006 Alexandre Fernandez Hervé Schauer Sommaire ISO 27001 : PDCA Certification d'un système de management Processus de certification Schéma de certification Accréditation

Plus en détail

Club 27001 toulousain

Club 27001 toulousain Club 27001 toulousain Couverture organisme national Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer

Plus en détail

AGROALIMENTAIRE. Système de management de la sécurité des denrées alimentaires ISO 22 000. Présentation de la norme

AGROALIMENTAIRE. Système de management de la sécurité des denrées alimentaires ISO 22 000. Présentation de la norme AGROALIMENTAIRE Système de management de la sécurité des denrées alimentaires ISO 22 000 Présentation de la norme 25 mars 2006-1 - Table des matières CHAPITRE 1 La normalisation : une démarche au service

Plus en détail

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi

Plus en détail

2012 / 2013. Excellence. Technicité. Sagesse

2012 / 2013. Excellence. Technicité. Sagesse 2012 / 2013 Excellence Technicité Sagesse Audit Conseil >> Présentation d ATHENA ATHENA est une société de services fondée en 2007 offrant des prestations dans les domaines de la sécurité informatique

Plus en détail

PRINCIPES ET ENJEUX DU MANAGEMENT INTEGRE QSE

PRINCIPES ET ENJEUX DU MANAGEMENT INTEGRE QSE PRINCIPES ET ENJEUX DU MANAGEMENT INTEGRE QSE Convergences et spécificités des référentiels ISO 9001 / 14001 / OHSAS 18001 Vianney BOCK 14, rue Cassini 06300 NICE Phone : +33 4 93 56 46 92 Mobile : +33

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification Les référentiels SMI, normes, processus de certification 1 Définitions selon le Guide ISO/IEC 2:2004 Norme Document, établi par consensus et approuve par un organisme reconnu, qui fournit, pour des usages

Plus en détail

SMSI et normes ISO 27001

SMSI et normes ISO 27001 SMSI et normes ISO 27001 introduction et perspectives Conférence "SMSI et normes 27001" 21 novembre 2007 Hervé Schauer Eric Doyen Sommaire Cahiers Oxford (publicité) Roue de Deming ISO 27001 Ensemble des

Plus en détail

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552 REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552 Date d application : 4 février 2013 DOC-PC 024 version 02 1/13 SOMMAIRE PAGES 1 OBJET 3 2 TERMINOLOGIE 3 et 4 3 DOCUMENTS DE REFERENCE

Plus en détail

ISO/IEC TR 90006. Première édition 2013-11-01. Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

ISO/IEC TR 90006. Première édition 2013-11-01. Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013 RAPPORT TECHNIQUE ISO/IEC TR 90006 Première édition 2013-11-01 Technologies de l information Lignes directrices pour l application de l ISO 9001:2008 pour la gestion des services IT et son intégration

Plus en détail

LES METRIQUES DANS LE CADRE DE LA SERIE 27000

LES METRIQUES DANS LE CADRE DE LA SERIE 27000 LES DOSSIERS TECHNIQUES LES METRIQUES DANS LE CADRE DE LA SERIE 27000 mai 2009 Groupe de Travail Série 27000 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Sémard, 75009 PARIS Tél. : +33

Plus en détail

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin

Plus en détail

METIERS DE L INFORMATIQUE

METIERS DE L INFORMATIQUE METIERS DE L INFORMATIQUE ISO 27001 LEAD AUDITOR REF : GOMO019 DUREE : 5 JOURS TARIF : 3 500 HT Public Toute personne amenée à conduire des audits dans le domaine de la sécurité des systèmes d'information.

Plus en détail

ISO 27001 conformité, oui. Certification?

ISO 27001 conformité, oui. Certification? ISO 27001 conformité, oui. Certification? Eric Wiatrowski CSO Orange Business Services Lead Auditor ISMS Conférences normes ISO 27001 21 Novembre 2007 1 sommaire Conformité vs certification La démarche

Plus en détail

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Ali GHRIB Directeur Général ali.ghrib@ansi.tn Sommaire 1 2 Présentation de l agence nationale

Plus en détail

L Audit selon la norme ISO27001

L Audit selon la norme ISO27001 L Audit selon la norme ISO27001 5 ème Rencontre des Experts Auditeurs ANSI Anissa Masmoudi Sommaire 1. La norme ISO27001 2. La situation internationale 3. L audit selon la norme ISO27001 4. Audit 27001

Plus en détail

Sécurité de l Information Expérience de Maroc Telecom

Sécurité de l Information Expérience de Maroc Telecom Sécurité de l Information Expérience de Maroc Telecom Fouad Echaouni Responsable Adjoint Sécurité de l Information Lead Auditor ISO 27001 CLUSIF / Conférence du 23 octobre 2008 Propriété Maroc Telecom

Plus en détail

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise CCI Moselle, le16 avril 2013 Système de Management Intégré Qualité, Sécurité et Environnement Un atout pour l entreprise Intervention de Olivier Rousseaux, Auditeur QSE, Expert en organisation et management

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

Fiche conseil n 16 Audit

Fiche conseil n 16 Audit AUDIT 1. Ce qu exigent les référentiels Environnement ISO 14001 4.5.5 : Audit interne EMAS Article 3 : Participation à l'emas, 2.b Annexe I.-A.5.4 : Audit du système de management environnemental SST OHSAS

Plus en détail

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

Les clauses «sécurité» d'un contrat SaaS

Les clauses «sécurité» d'un contrat SaaS HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO 27001 DCSSI/CFSSI 28 mars 2007 Alexandre Fernandez Hervé

Plus en détail

SOMMAIRE. Bureau Veritas Certification FranceGP01 Certification de systèmes de management 2015-05-15.docx Page 2/21

SOMMAIRE. Bureau Veritas Certification FranceGP01 Certification de systèmes de management 2015-05-15.docx Page 2/21 Procédure de Certification de systèmes de management GP01 Version du 15 mai 2015 SOMMAIRE 1. Proposition de certification... 3 1.1 Candidature... 3 1.1.1 Schéma général... 3 1.1.2 Schéma Multi-sites...

Plus en détail

AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre?

AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre? Réunion CCI Franche-Comté - Besançon 13 mai 2014 AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre? Paule.nusa @afnor.org Nour.diab@afnor.org

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Comparatif avec la version 2005 Béatrice Joucreau Julien

Plus en détail

ISO 27001:2013 Béatrice Joucreau Julien Levrard

ISO 27001:2013 Béatrice Joucreau Julien Levrard HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013 Béatrice Joucreau Julien Levrard Sommaire La norme

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

Consulter notre site : www.nt2s.net. Network Telecom Security Solutions. www.hsc.fr. en partenariat technique avec

Consulter notre site : www.nt2s.net. Network Telecom Security Solutions. www.hsc.fr. en partenariat technique avec NOS PARTENAIRES Network Telecom Security Solutions en partenariat technique avec Conseil, formation et accompagnement Création, Gestion et Stratégie Management et sécurité de l'information stratégique

Plus en détail

MISE EN PLACE D'UN SYSTEME QUALITE ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001.

MISE EN PLACE D'UN SYSTEME QUALITE ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001. MISE EN PLACE D'UN SYSTEME QUALITE ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001. Public : Objectif : Direction Membres du comité de direction - Responsable de service Responsables qualité Ensemble du personnel

Plus en détail

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis REPUBLIQUE TUNISIENNE MINISTERE DE L ENSEIGNENMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE Université Virtuelle de Tunis Mastère en Optimisation et Modernisation des Entreprises : MOME Mémoire Pour l

Plus en détail

Ce document est la propriété de la MAP. Il ne peut être utilisé, reproduit ou communiqué sans son autorisation. MECANIQUE AERONAUTIQUE PYRENEENNE

Ce document est la propriété de la MAP. Il ne peut être utilisé, reproduit ou communiqué sans son autorisation. MECANIQUE AERONAUTIQUE PYRENEENNE MANUEL MANAGEMENT QUALITE Révision janvier 2010 Ce document est la propriété de la MAP. Il ne peut être utilisé, reproduit ou communiqué sans son autorisation. MECANIQUE AERONAUTIQUE PYRENEENNE Place d

Plus en détail

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER

CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER CONTROLE GENERAL ECONOMIQUE ET FINANCIER MISSION AUDIT 3, boulevard Diderot 75572 PARIS CEDEX 12 CONTROLE GÉNÉRAL ÉCONOMIQUE ET FINANCIER CHARTE DE L'AUDIT Validée par le comité des audits du 4 avril 2012

Plus en détail

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services NORME INTERNATIONALE ISO/CEI 20000-1 Deuxième édition 2011-04-15 Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services Information technology Service

Plus en détail

1. La sécurité applicative

1. La sécurité applicative ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité

Plus en détail

I.T.I.L. I.T.I.L. et ISO 20000 ISO 20000. La maturité? La Mêlée Numérique 10. le 8 juin 2006. Luc Van Vlasselaer http://itil.lv2.

I.T.I.L. I.T.I.L. et ISO 20000 ISO 20000. La maturité? La Mêlée Numérique 10. le 8 juin 2006. Luc Van Vlasselaer http://itil.lv2. et La maturité? La Mêlée Numérique 10 le 8 juin 2006 Plan de la p Introduction /IEC Conclusions Questions et réponses La Norme /IEC ntroduction Technologie de l'information - Gestion des services Partie

Plus en détail

2 nde édition Octobre 2008 LIVRE BLANC. ISO 27001 Le nouveau nirvana de la sécurité?

2 nde édition Octobre 2008 LIVRE BLANC. ISO 27001 Le nouveau nirvana de la sécurité? 2 nde édition Octobre 2008 LIVRE BLANC ISO 27001 Le nouveau nirvana de la sécurité? Livre Blanc ISO 27001 Sommaire L ISO 27001, 3 ans après sa publication 4 L ISO 27001 : un SMSI basé sur 4 principes fondamentaux

Plus en détail

PASSI Un label d exigence et de confiance?

PASSI Un label d exigence et de confiance? PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,

Plus en détail

CERTIFICATION CERTIPHYTO

CERTIFICATION CERTIPHYTO CONDITIONS GENERALES DE CERTIFICATION MONOSITE Indice 2 Page 1/12 «Distribution de produits phytopharmaceutiques, Application en prestation de service de produits phytopharmaceutiques, Conseil à l utilisation

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Amendement de la norme ISO 9001

Amendement de la norme ISO 9001 Amendement de la norme ISO 9001 François BOUCHER AFNOR Normalisation Repris par Claude GIRARD AFNOR Délégation Bretagne Un toilettage? SOMMAIRE Pourquoi une révision de la norme? Ce qui ne change pas Ce

Plus en détail

When Recognition Matters

When Recognition Matters When Recognition Matters PROGRAMME DE PARTENARIAT DU PECB www.pecb.com A propos du PECB /// Le PECB (Professional Evaluation and Certification Board) est un organisme de certification des personnes pour

Plus en détail

FORMATION. Connaître les exigences réglementaires appliquées aux Systèmes d Information. 1 JOUR soit 7 heures. Réf.AQ-Q1

FORMATION. Connaître les exigences réglementaires appliquées aux Systèmes d Information. 1 JOUR soit 7 heures. Réf.AQ-Q1 Réf.AQ-Q1 Les Systèmes d'information des entreprises réglementées font l'objet d'exigences spécifiques. Celles-ci sont souvent difficiles à appréhender pour les spécialistes métier de l'assurance Qualité,

Plus en détail

REFERENTIEL DE CERTIFICATION

REFERENTIEL DE CERTIFICATION REFERENTIEL DE CERTIFICATION Référentiel I4 NF 285 Edition : Janvier 2015 N de révision : 4 ORGANISMES CERTIFICATEURS CNPP Cert. Route de la Chapelle Réanville CD 64 - CS 22265 F- 27950 SAINT-MARCEL Tél.

Plus en détail

LA VERSION ELECTRONIQUE FAIT FOI

LA VERSION ELECTRONIQUE FAIT FOI CONDITIONS D ACCREDITATION D ORGANISMES MULTISITES OU ORGANISES EN RESEAU OU METTANT EN COMMUN DES MOYENS GEN PROC 10 Révision 03 CONDITIONS D ACCREDITATION D ORGANISMES MULTISITES OU ORGANISES EN RESEAU

Plus en détail

ISO 2700x : une famille de normes pour la gouvernance sécurité

ISO 2700x : une famille de normes pour la gouvernance sécurité Gérôme BILLOIS - Responsable du département Sécurité des Systèmes d Information - Solucom gerome.billois@solucom.fr - http://www.solucom.fr Jean-Philippe HUMBERT - Doctorant au Centre de Recherche sur

Plus en détail

Catalogue des formations 2014 #CYBERSECURITY

Catalogue des formations 2014 #CYBERSECURITY Catalogue des formations 2014 #CYBERSECURITY INDEX DES FORMATIONS Cliquez sur la formation de votre choix MANAGEMENT DE LA SECURITE DES SYSTEMES D INFORMATION - ISO 27001 : Certified Lead Auditor - ISO

Plus en détail

Réussir la Démarche de Management

Réussir la Démarche de Management Formation à la norme ISO 9001, V 2008 Formateur Dr Mohammed Yousfi Formateur Auditeur Consultant QSE Réussir la Démarche de Management Réussir le Projet ISO 9001, Version 2008 1 Programme Introduction

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR

NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR NORME INTERNATIONALE D AUDIT 620 UTILISATION DES TRAVAUX D UN EXPERT DESIGNE PAR L AUDITEUR Introduction (Applicable aux audits d états financiers pour les périodes ouvertes à compter du 15 décembre 2009)

Plus en détail

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000 Les pratiques professionnelles de la Continuité Métier sont définies comme les aptitudes, connaissances et procédures

Plus en détail

Table des matières 8.3 TRAITEMENT DES REMARQUES... 27 ANNEXE 1 : PROCEDURE DE RECLAMATIONS ET PLAINTES... 28 ANNEXE 2 : PROCEDURE D APPEL...

Table des matières 8.3 TRAITEMENT DES REMARQUES... 27 ANNEXE 1 : PROCEDURE DE RECLAMATIONS ET PLAINTES... 28 ANNEXE 2 : PROCEDURE D APPEL... Guide de l audit Des Systèmes de Management Qualité, et Médical A l attention des Clients REDACTEUR VERIFICATEUR APPROBATEUR NOM G.LABORDE R ADJEL Y GERARDIN DATE 11/09/2009 11/09/2009 11/09/2009 VISA

Plus en détail

ITIL V2. Historique et présentation générale

ITIL V2. Historique et présentation générale ITIL V2 Historique et présentation générale Création : novembre 2004 Mise à jour : août 2009 A propos du document Ce document de référence sur le référentiel ITIL a été réalisé en 2004 et la traduction

Plus en détail

Catalogue de Formations

Catalogue de Formations Catalogue de Formations QUALITY & INNOVATION Tel : +33 (0) 1 39 56 11 34 Gsm : +33 (0) 6 48 29 84 54 Fax : +33 (0) 1 60 14 61 82 www.q2i-edu.fr 1 Ce catalogue a pour objectif de vous renseigner sur le

Plus en détail

Sommaire. 37, rue d Amsterdam 75008 - Paris Tél. : 01 42 26 07 54 Fax : 01 42 26 09 88 http://www.lca-performances.com

Sommaire. 37, rue d Amsterdam 75008 - Paris Tél. : 01 42 26 07 54 Fax : 01 42 26 09 88 http://www.lca-performances.com 37, rue d Amsterdam 75008 - Paris Tél. : 01 42 26 07 54 Fax : 01 42 26 09 88 http://www.lca-performances.com Audit qualité Programme de formation Contexte de formation.. 2 Objectifs de formation 3 Programme

Plus en détail

ToutelaQualite. FAQ Rechercher S enregistrer Profil Membres Groupes Se connecter pour vérifier ses messages privés Connexion

ToutelaQualite. FAQ Rechercher S enregistrer Profil Membres Groupes Se connecter pour vérifier ses messages privés Connexion creer un forum supprimer les publicites ToutelaQualite FAQ Rechercher S enregistrer Profil Membres Groupes Se connecter pour vérifier ses messages privés Connexion ISO 9001 V2008 ToutelaQualite Index du

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique Pollutec 2013 Atelier ATEE AUDIT ENERGETIQUE EN ENTREPRISE Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique Laurent Cadiou DGEC/SCEE Bureau Économies

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011 CATALOGUE FORMATION Année 2010 / 2011 Certified Ethical Hacker Penetration testing tified CHFI Ethical Hacker CHFI Management de la sécurité des SI ical Hacker Penetration t CISSP CISSP Ethical Hacker

Plus en détail

Audit interne. Audit interne

Audit interne. Audit interne Définition de l'audit interne L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils

Plus en détail

ISO27005 Gestion de risque

ISO27005 Gestion de risque HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO27005 Gestion de risque Clusif groupe méthodes / méhari Paris,

Plus en détail

FICHE EXPLICATIVE Système de management de l Énergie (SMÉ)

FICHE EXPLICATIVE Système de management de l Énergie (SMÉ) Certificats d économies d énergie Fiche explicative n FE 50 FICHE EXPLICATIVE Système de management de l Énergie (SMÉ) Fiches d opérations standardisées concernées : N BAT-SE-02 et IND-SE-01. Ce document

Plus en détail

Démarche qualité en formation professionnelle. François GALINOU Vice Président ICPF & PSI Directeur Associé Pedagogic Agency

Démarche qualité en formation professionnelle. François GALINOU Vice Président ICPF & PSI Directeur Associé Pedagogic Agency Démarche qualité en formation professionnelle François GALINOU Vice Président ICPF & PSI Directeur Associé Pedagogic Agency Version 4 Novembre 2011 Qui suis-je? Membre de la Commission Française de Normalisation

Plus en détail

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents Créée en 1989, Hervé Schauer Consultants (HSC), est une société spécialisée dans l expertise de conseil en sécurité des systèmes d information. De taille humaine (28 personnes dont 22 consultants), HSC

Plus en détail

CATALOGUE 2015. 21 b boulevard Tellene 13007 Marseille Tél / Fax : 04 91 31 02 17 / 06 12 46 30 26 / tsalmon@wanadoo.fr

CATALOGUE 2015. 21 b boulevard Tellene 13007 Marseille Tél / Fax : 04 91 31 02 17 / 06 12 46 30 26 / tsalmon@wanadoo.fr CATALOGUE 2015 1 LE MOT DU DIRECTEUR Fort du succès de nos formations vous avez été plus nombreux à vouloir poursuivre l aventure avec TS CONSULTANT. Aussi pour satisfaire une demande continuellement forte,

Plus en détail

BELAC 2-201 Rev 5-2006. Note valable uniquement pour la version en français:

BELAC 2-201 Rev 5-2006. Note valable uniquement pour la version en français: BELAC 2-201 Rev 5-2006 CRITERES GENERAUX ET LIGNES DIRECTRICES POUR LA MISE EN OEUVRE DE LA NORME NBN EN ISO/IEC 17020 PAR LES ORGANISMES D'INSPECTION CANDIDATS A UNE ACCREDITATION. Note valable uniquement

Plus en détail

JECO journée des éco-entreprises. Présentation de l événement

JECO journée des éco-entreprises. Présentation de l événement JECO journée des éco-entreprises Présentation de l événement Atelier Valoriser sa démarche environnementale UN LEVIER DE CROISSANCE POUR L ENTREPRISE Objectifs Faire un panorama des différents référentiels

Plus en détail

EBA/GL/2012/06 22 novembre 2012. Orientations. sur l évaluation de l aptitude des membres de l organe de direction et des titulaires de postes clés

EBA/GL/2012/06 22 novembre 2012. Orientations. sur l évaluation de l aptitude des membres de l organe de direction et des titulaires de postes clés EBA/GL/2012/06 22 novembre 2012 Orientations sur l évaluation de l aptitude des membres de l organe de direction et des titulaires de postes clés Orientations de l ABE sur l évaluation de l aptitude des

Plus en détail

Sécurité des Systèmes d Information

Sécurité des Systèmes d Information Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de

Plus en détail

Bureautique Conseil Midi-Pyrénées - Perret Bureautique

Bureautique Conseil Midi-Pyrénées - Perret Bureautique Certification ISO 9001 : 2008 Rapport d'audit de renouvellement Date(s) de l'audit : 4 & 5 décembre 2012 Bureautique Conseil Midi-Pyrénées - Perret Bureautique A l attention de Madame Fabienne MORALY Suzanne

Plus en détail

Rapport de certification 2001/24

Rapport de certification 2001/24 PREMIER MINISTRE Secrétariat général de la Défense nationale Direction centrale de la sécurité des systèmes d information Schéma Français d Évaluation et de Certification de la Sécurité des Technologies

Plus en détail

L Assurance Qualité DOSSIER L ASSURANCE QUALITE

L Assurance Qualité DOSSIER L ASSURANCE QUALITE DOSSIER L ASSURANCE QUALITE L Assurance Qualité DOSSIER N D4-2-GW0301 Satisfaction.fr 164 ter rue d Aguesseau 92100 Boulogne Billancourt 01.48.25.76.76 http://www.satisfaction.fr/ Page 1 Définition Normalisée.

Plus en détail

Deuxième partie les étapes de la méthode qualité Chapitre 3 les exigences et les spécifications du système d'information 1 Le référentiel

Deuxième partie les étapes de la méthode qualité Chapitre 3 les exigences et les spécifications du système d'information 1 Le référentiel SOMMAIRE Première partie la qualité : une exigence pour le logiciel Chapitre 1 Normes et exigences Chapitre 2 Exigences du logiciel 1 Le cycle de vie du logiciel 2 La dynamique des projets informatiques

Plus en détail

Pour le Développement d une Relation Durable avec nos Clients

Pour le Développement d une Relation Durable avec nos Clients Pour le Développement d une Relation Durable avec nos Clients Prestation de Certification CERTIFICATION-D D-Indice 7 Applicable le 09//009 CERTIFICATION D Indice 7 Page /7 GLOBAL sas 8, rue du séminaire

Plus en détail

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA 1 APPEL D OFFRES ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA JUILLET 2013 2 1. OBJET DE L APPEL D OFFRE Réalisation d un accompagnement

Plus en détail

Conditions générales pour la certification de systèmes de

Conditions générales pour la certification de systèmes de Page : 1 de 5 1 Généralités Le Service de Certification ESCEM propose aux entreprises de certifier leurs Systèmes de Management Qualité (SMQ), Santé Sécurité au travail (SMS) ou Environnement (SME). Les

Plus en détail

REGLEMENT DE CERTIFICATION

REGLEMENT DE CERTIFICATION REGLEMENT DE CERTIFICATION Auditor/Lead Auditor «ISO/CEI 27001» N DE PROCEDURE LSTI 24, AVENUE DE MOKA 35400 SAINT-MALO VERSION DATE MAJ PAGE Q015 SAS AU CAPITAL DE 37 000 - SIREN 453 867 863 RCS DE SAINT-MALO

Plus en détail

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015 Conférence CRESTEL Du risque SI aux risques business v1.0 09/03/2015 1 Bonnes pratiques de certification, de conformité En matière de SSI, la «perfection», un «système sans faille», est toujours l objectif

Plus en détail

Gestion de parc et qualité de service

Gestion de parc et qualité de service Gestion de parc et qualité de service Journée Josy, 14 octobre 2008 A. Rivet Gestion de parc et qualité de service Gestion de parc Fonctions de base GT «Guide de bonnes pratiques» Référentiels et SI ITIL/ISO

Plus en détail

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire NORME INTERNATIONALE ISO/CEI 27000 Troisième édition 2014-01-15 Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Plus en détail

Marquage CE des Granulats

Marquage CE des Granulats REFERENTIEL SECTORIEL POUR LA Page 1 sur 11 MAÎTRISE DE LA PRODUCTION DES GRANULATS (Système d'attestation de conformité 2+) SOMMAIRE : Article 1 Objet et domaine d application Article 2 Intervenants dans

Plus en détail

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI

Plus en détail

ISO 9001 version 2008

ISO 9001 version 2008 Nîmes le 20/11/08 ISO 9001 version 2008 Principales évolutions Sylvain PORTAL Délégation Languedoc-Roussillon SOMMAIRE LE CONTEXTE LA NORME ISO 9001: 2008 (FDIS) LES MODALITES DE TRANSITION LA NORME ISO

Plus en détail

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30

Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30 Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité

Plus en détail